StillZur App

Datenschutzrichtlinie

Aktualisiert: April 2026

STILL ist ein KI-gestützter Begleiter für innere Ruhe, Wohlbefinden und Selbstwahrnehmung. Wir bei STILL (betrieben von Still GmbH, nachfolgend “STILL”, “wir”, “unser” oder “uns”) sind überzeugt, dass echte Fürsorge für Ihre Gesundheit auch echte Fürsorge für Ihre Daten einschließt. Diese Datenschutzrichtlinie beschreibt transparent und vollständig, welche personenbezogenen Daten wir erheben, auf welcher Grundlage wir sie verarbeiten und welche Rechte Sie jederzeit geltend machen können.

Da STILL Gesundheits- und Wohlbefindensdaten verarbeitet, die dem besonderen Schutzregime des Art. 9 DSGVO unterliegen, stehen Datensparsamkeit, Transparenz und Ihre Kontrolle über Ihre eigenen Daten für uns an erster Stelle. Wir trainieren keine KI-Modelle mit Ihren persönlichen Gesprächsinhalten und geben Ihre Chatdaten nicht an Dritte zu Werbe- oder Analysezwecken weiter.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Still GmbH
[Straße, PLZ, Ort]
Deutschland
E-Mail: hallo@getmamastill.com

Für sämtliche Fragen zum Datenschutz stehen wir Ihnen jederzeit unter der vorstehenden E-Mail-Adresse zur Verfügung.

2. Personenbezogene Daten, die wir erheben

Wir erheben personenbezogene Daten ausschließlich in dem Umfang, der zur Bereitstellung und Verbesserung unseres Dienstes erforderlich ist.

2.1 Von Ihnen bereitgestellte Daten

2.2 Automatisch entstehende Daten

3. Besondere Datenkategorien: Gesundheits- und Wohlbefindensdaten

Chatinhalte, Ihr persönliches Profil und das daraus abgeleitete Personalisierungsprofil können Informationen zu Ihrer körperlichen oder psychischen Gesundheit enthalten. Solche Daten fallen unter den besonderen Schutz des Art. 9 DSGVO. Rechtsgrundlage für ihre Verarbeitung ist ausschließlich Ihre ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie beim Einrichten Ihres Kontos erteilen.

Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — ohne Angabe von Gründen. Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Zur Ausübung des Widerrufs löschen Sie Ihr Konto im Profil oder wenden Sie sich an hallo@getmamastill.com.

Was wir mit Ihren Gesundheitsdaten ausdrücklich nicht tun: Wir verkaufen Ihre Daten nicht. Wir geben Chatinhalte nicht an Dritte zu Werbe- oder Analysezwecken weiter. Wir verwenden Ihre Chatverläufe nicht dazu, KI-Modelle zu trainieren — weder eigene noch die unserer Anbieter.

4. Profilbildung und Personalisierung

Um Ihnen eine Erfahrung zu bieten, die sich mit der Zeit Ihren persönlichen Bedürfnissen anpasst, betreibt STILL ein kontinuierlich fortgeschriebenes Langzeitgedächtnis. Dieses Profil erfasst, was Sie bewegt — Ihre Interessen, Herausforderungen, Ziele, Lebenssituation und bevorzugte Kommunikationsweise — und fließt als Kontext in jede neue KI-Antwort ein.

Das Langzeitgedächtnis wird vollständig auf unseren eigenen Servern (Hetzner, Deutschland) betrieben und gespeichert. Es verlässt unsere Infrastruktur nicht. Die extrahierten Fakten werden als Klartextzusammenfassungen in unserer eigenen Datenbank abgelegt; die zugrunde liegenden Chats selbst sind separat verschlüsselt gespeichert.

Die Profilbildung dient der Vertragserfüllung und der Ausführung Ihrer Einwilligung. Sie führt zu keinerlei automatisierten Entscheidungen mit rechtlicher Wirkung (Art. 22 DSGVO). Sie können Ihr Langzeitgedächtnis jederzeit einzeln oder vollständig unter Profil → Gedächtnis einsehen und löschen.

5. Zwecke und Rechtsgrundlagen der Verarbeitung

ZweckVerarbeitete DatenRechtsgrundlage
Bereitstellung des Dienstes, Authentifizierung und Beantwortung Ihrer Nachrichten durch die KIKontoinformationen, ChatinhalteArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Personalisierung durch persönliches Profil, Dokumente, Rituale, Destiny Matrix, Langzeitgedächtnis und Inhalts-Interaktionen; Verarbeitung von Gesundheits- und WohlbefindensdatenPersönliches Profil, Chatinhalte, Geburtsdatum, Dokumente, Rituale, Inhalts-InteraktionenArt. 6 Abs. 1 lit. b DSGVO + Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)
Zahlungsabwicklung und AbonnementverwaltungE-Mail-Adresse, AbonnementstatusArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Transaktionale E-Mails (OTP-Anmeldelink, Willkommensnachricht, Inaktivitätswarnung, Kontaktantwort)E-Mail-Adresse, NameArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Kontakt auf Ihre Initiative)
Systemsicherheit, Missbrauchsprävention und technische Stabilität (Rate-Limiting, Zugriffskontrolle)Sitzungsinformationen, NutzungsmetrikenArt. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
Optionale Nutzungsanalyse (nur nach Einwilligung)Seitenaufrufe, Seitenverweildauer (anonymisiert je Sitzung)Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, TTDSG §25)
Einhaltung gesetzlicher Verpflichtungen (u. a. steuerrechtliche Aufbewahrungsfristen)Abrechnungsdaten, UmsatzdatenArt. 6 Abs. 1 lit. c DSGVO

6. Datenweitergabe an KI-Anbieter

Wenn Sie eine Nachricht senden, wird diese zur Verarbeitung an einen der folgenden KI-Anbieter übermittelt — abhängig vom gewählten Modell:

6.1 Google (Gemini 2.5 Flash — Standardmodell)

Das Standardmodell von STILL ist Gemini 2.5 Flash von Google. Im Kontext jeder Anfrage werden an Google übermittelt:

Google verwendet Daten, die über API-Schlüssel verarbeitet werden, gemäß seiner API-Nutzungsbedingungen standardmäßig nicht zum Training von KI-Modellen.

6.2 Anthropic (Claude Sonnet / Opus — wählbar)

Alternativ können Sie Claude von Anthropic wählen. Für die Modi “Ernährung” und “Spiritual” wird automatisch Claude Sonnet eingesetzt, da dieses Modell strukturierte Inhalte flüssiger erzeugt. Der Umfang der übermittelten Daten entspricht dem unter 6.1 beschriebenen. Anthropic verwendet API-Anfragen standardmäßig nicht zum Training von Modellen.

6.3 Perplexity AI (Websuche — nur auf Anfrage)

Wenn die KI für Ihre Frage aktuelle Internetinformationen benötigt, wird die jeweilige Suchanfrage an Perplexity AI übermittelt. Dabei werden kein persönliches Profil, keine Chathistorie und keine Gesundheitsdaten übertragen.

6.4 Google (Embeddings — vollständig intern)

Für die semantische Suche in Ihren Dokumenten und für das Langzeitgedächtnis werden Texte lokal in Vektoren (numerische Repräsentationen) umgewandelt. Dabei werden kurze Textabschnitte an die Google-Embedding-API übermittelt. Diese Vektoren werden anschließend in unserer eigenen Datenbank (Hetzner, Deutschland) gespeichert. Google erhält dabei keine vollständigen Chatverläufe, sondern ausschließlich die zum Einbetten bestimmten Textfragmente.

Wir empfehlen, im Gespräch keine personenbezogenen Daten Dritter oder besonders sensible Informationen zu teilen, die über den Kontext Ihres persönlichen Wohlbefindens hinausgehen.

7. Speicherung von Chatverläufen

STILL speichert Chatverläufe standardmäßig auf unseren eigenen Servern (Hetzner Online GmbH, Deutschland). Alle Chatinhalte werden mit AES-256-GCM auf Inhaltsebene verschlüsselt. Der Verschlüsselungsschlüssel liegt ausschließlich in unserer eigenen Infrastruktur — weder Hetzner noch die KI-Anbieter können auf Ihre unverschlüsselten Chatinhalte zugreifen.

Im Privaten Modus (aktivierbar in Ihrem Profil unter “Datenschutz”) werden Chatverläufe nicht auf unseren Servern gespeichert — Gespräche existieren ausschließlich für die Dauer Ihrer Browsersitzung.

8. Aufbewahrungsfristen

Wir bewahren Ihre personenbezogenen Daten nur so lange auf, wie es für die Erbringung des Dienstes oder die Erfüllung gesetzlicher Verpflichtungen notwendig ist:

DatenkategorieSpeicherdauer
Kontodaten (Name, E-Mail-Adresse)Bis zur Kontolöschung
Persönliches Profil, Gesundheitsdaten, Langzeitgedächtnis, Dokumente und RitualeBis zur Kontolöschung oder Widerruf der Einwilligung
ChatverläufeBis zur manuellen Löschung oder Kontolöschung · Im Privaten Modus werden Chatverläufe nicht gespeichert
Inhalts-Interaktionen (Artikel lesen, speichern, bewerten)Bis zur Kontolöschung
Anmelde-Cookie30 Tage (automatischer Ablauf)
Einwilligungs-Cookie (still-consent)1 Jahr
Nutzungsmetriken (anonymisierte Systemdaten)Unbegrenzt (kein Personenbezug)
Abrechnungs- und Umsatzdaten (Stripe)10 Jahre (§ 147 AO / § 257 HGB)
Pseudonymisierter Löschnachweis (Deletion-Audit) — nach 180 Tagen wird die User-ID durch einen Hash ersetzt; IP-Adresse und User-Agent werden entferntBis zu 2,5 Jahre nach der Löschung, dann Hard-Delete

Inaktive Konten: Konten, bei denen seit mehr als 2 Jahren keine aktive Sitzung verzeichnet wurde, werden automatisch gelöscht. Sie erhalten mindestens 30 Tage vorher eine Vorankündigung per E-Mail. Durch eine erneute Anmeldung bleibt Ihr Konto vollständig erhalten.

9. Auftragsverarbeiter und Drittanbieter

Zur Bereitstellung unseres Dienstes setzen wir die nachstehenden Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

AnbieterZweck und Umfang der DatenverarbeitungSitz / Datentransfer
Hetzner Online GmbHHosting der gesamten Infrastruktur — Anwendungsserver, Datenbank und Objektspeicher werden ausschließlich auf deutschen Servern von Hetzner betrieben. Hetzner hat keinen Zugriff auf verschlüsselte Inhaltsdaten.Deutschland — kein Drittlandtransfer
Google
(Google LLC / Google Ireland)
KI-Sprachmodell (Gemini 2.5 Flash — Standardmodell) und Text-Embeddings für semantische Suche. Umfang der übermittelten Daten: Abschnitt 6.1 und 6.4. Google verwendet API-Anfragen standardmäßig nicht zum Training von Modellen. Optional: Google OAuth (nur wenn Sie sich mit Google anmelden).USA · SCC (Art. 46 Abs. 2 lit. c DSGVO)
Anthropic
(Anthropic PBC)
KI-Sprachmodell (Claude Sonnet / Opus — optional wählbar, Pflichtmodell für Ernährungs- und Spiritual-Modus). Umfang: Abschnitt 6.2. Anthropic verwendet API-Anfragen standardmäßig nicht zum Training von Modellen.USA · SCC (Art. 46 Abs. 2 lit. c DSGVO)
Perplexity AI
(Perplexity AI Inc.)
Echtzeit-Websuche — es wird ausschließlich die jeweilige Suchanfrage übermittelt (kein Profil, keine Chathistorie, keine Gesundheitsdaten). Perplexity wird zudem intern für die Content-Engine genutzt, die redaktionelle Wellness-Artikel generiert; dabei werden ebenfalls nur thematische Suchqueries, keine Nutzerdaten übertragen.USA · SCC (Art. 46 Abs. 2 lit. c DSGVO)
Stripe
(Stripe Inc. / Stripe Payments Europe)
Zahlungsabwicklung und Abonnementverwaltung. Stripe erhält E-Mail-Adresse und Abonnementdaten. Keinerlei Chatinhalte oder Gesundheitsdaten werden an Stripe übermittelt. Stripe ist PCI DSS zertifiziert.USA/EU · SCC · PCI DSS
Resend
(Resend Inc.)
Transaktionale E-Mails (OTP-Anmeldelink, Willkommens-E-Mail, Inaktivitätswarnung, Kontaktformular-Weiterleitung). Resend erhält ausschließlich Empfängeradresse, Name und Inhalt der jeweiligen E-Mail.USA · SCC (Art. 46 Abs. 2 lit. c DSGVO)
Google / Apple
(Alphabet Inc. / Apple Inc.)
Optionale Anmeldung über Google- oder Apple-Konto. Nur bei Nutzung dieser Funktion übermitteln die jeweiligen Anbieter Name, E-Mail-Adresse und ggf. Profilbild an STILL.USA · SCC · EU-US Data Privacy Framework
PostHog
(PostHog Inc. — EU-Server)
Nutzungsanalyse — nur nach Ihrer Einwilligung. Erfasst werden Seitenaufrufe und Seitenverweildauer. PostHog speichert Ihre Nutzer-ID und E-Mail-Adresse, um Analysen nutzerbezogen auswerten zu können. Ohne Einwilligung wird kein einziges Ereignis erfasst.EU (eu.posthog.com) — kein Drittlandtransfer

10. Datenübermittlungen in Drittländer (Art. 44 ff. DSGVO)

STILL speichert alle Nutzerdaten ausschließlich innerhalb Deutschlands (Hetzner Online GmbH). Einige der unter Abschnitt 9 genannten Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Basis der von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie, soweit anwendbar, des EU-US Data Privacy Frameworks. Für Informationen zu den jeweils geltenden Garantien wenden Sie sich bitte an hallo@getmamastill.com.

11. Sicherheit Ihrer Daten

Wir setzen wirtschaftlich angemessene technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen:

Keine Übertragung über das Internet ist vollständig sicher. Wir empfehlen, den Privaten Modus zu aktivieren, wenn Sie besonders sensible Inhalte besprechen möchten.

12. Ihre Datenkontrolle — direkt in der App

STILL gibt Ihnen direkte Kontrolle über Ihre Daten, ohne dass Sie uns kontaktieren müssen:

13. Ihre Rechte nach der DSGVO (Art. 15–22)

Als betroffene Person stehen Ihnen die folgenden Rechte zu:

Viele Rechte können Sie direkt über die App ausüben. Für alle weiteren Anfragen wenden Sie sich bitte an hallo@getmamastill.com. Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist von einem Monat.

Sie haben außerdem das Recht, Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einzulegen. In Deutschland ist dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die für Ihren Wohnsitz zuständige Landesbehörde.

14. Cookies und Einwilligung (TTDSG §25)

STILL unterscheidet zwei Kategorien von Cookies:

Es werden keine Werbe- oder Drittanbieter-Tracking-Cookies gesetzt. Wir nutzen kein Google Analytics, keinen Meta Pixel und keine vergleichbaren Dienste.

15. Mindestalter

STILL richtet sich ausschließlich an Personen ab 18 Jahren. Da der Dienst besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeitet, ist die ausdrückliche Einwilligung einer volljährigen Person Voraussetzung für die Nutzung. Wir erheben nicht wissentlich Daten von Minderjährigen. Sollten Sie Kenntnis davon erlangen, dass eine minderjährige Person ein Konto erstellt hat, bitten wir um Mitteilung an hallo@getmamastill.com. Wir werden das Konto und alle Daten umgehend löschen.

16. Hinweis zur Genauigkeit der KI-Antworten

STILL nutzt KI-Sprachmodelle, die Antworten auf Basis statistischer Muster generieren. Im Bereich Gesundheit und Wohlbefinden gilt daher: Antworten können im Einzelfall unvollständig oder ungenau sein und sind kein Ersatz für medizinischen, therapeutischen oder psychologischen Rat. Bei gesundheitlichen Beschwerden wenden Sie sich bitte an qualifizierte Fachkräfte.

Wenn Sie in einer KI-Antwort sachlich fehlerhafte Informationen über sich feststellen und eine Berichtigung oder Löschung wünschen, wenden Sie sich bitte an hallo@getmamastill.com. Wir bearbeiten Ihre Anfrage im Rahmen der Art. 16 und 17 DSGVO.

17. EU-Streitschlichtung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit: ec.europa.eu/consumers/odr. Wir sind nicht bereit und nicht verpflichtet, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

18. Änderungen dieser Datenschutzrichtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Jede aktualisierte Version trägt das Datum des Inkrafttretens und wird auf dieser Seite veröffentlicht. Wesentliche Änderungen — insbesondere solche, die die Verarbeitung von Gesundheitsdaten oder Ihre Rechte betreffen — teilen wir Ihnen zusätzlich per E-Mail mit.